新病毒手法 修改Image File Execution Options IFEO 機碼使防毒軟體無法執行

最近同事的電腦又中毒了
情況是
1卡巴無法執行(avp.exe 無法啟動,重裝也無法啟動)
2會有 micross1.ttf~micross24.tff等不定個數的奇怪檔案在執行(micross.ttf 是正常的字型檔不要弄混)
3會下載一堆病毒檔
4系統時間會被改到8年前(??不是很確定是否病毒引起??)
5 C:\windows\explorer.exe 也會被感染造成無法進入正常桌面
簡直像是個病毒產生器
傷腦筋的是常用的Autoruns 或 Procexp 也都不能跑, 沒法從registry中下手中斷過程
花了一個禮拜才搞清楚病毒的手法
這個中毒事件中有幾個有趣的地方
1 映像劫持手法 IFEO Image File Execution Options 阻斷了所有(病毒作者已知的)防毒軟體的執行像 卡巴 (avp.exe) 360衞士等等都不會執行，若未來其他病毒有樣學樣就麻煩了
2 疑似 UPX 植入explorer.exe 成為病毒(若不是病毒有點問題，造成無法進入桌面，同事的電腦大概還不會搬來找我）
3 其他就跟一般病毒的動作沒有太大差別了

先說第１個吧！
病毒起點未知，但在 C:\有兩個隱藏檔 0qx0sc6.bat 及 Autorun.inf
這是標準的autorun病毒手法，會去修改機碼載入 kavo等病毒，及可能執行 IFEO
什麼是 IFEO
參考對岸駭客的文件

就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。

然后再创建一个子键“Debugger="C:\\WINDOWS\\ system32\\drivers\\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com，类似文件关联的效果。by deyu260 QQ27287337

這裏遇到的是
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
"Debugger"="C:\\WINDOWS\\system32\\svchost.exe"
在解決到這裏之前已把svchost.exe 解決了，　所以中斷了線索，殘念
只好修正上面的所有有問題的機碼，到此也大致解決了

不過接下來的第二個可能使用了和前面提到的 svchost.exe 相同的技術
這個有問題的 explorer.exe 怎麼看都滿正常的，但和真正的explorer.exe 比就可以看的出有問題
利用VirusTotal 的多重防毒引擎掃瞄結果 有12/32判定為病毒
反病毒引擎版本最後更新掃瞄結果
AhnLab-V3 2008.4.25.2 2008.04.25 -
AntiVir 7.8.0.10 2008.04.27 -
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.28 Win32:Downloader-AOV
AVG 7.5.0.516 2008.04.27 Generic10.LAS
BitDefender 7.2 2008.04.28 Trojan.Sorri.O
CAT-QuickHeal 9.50 2008.04.26 Worm.Downloader.ia
ClamAV 0.92.1 2008.04.27 -
DrWeb 4.44.0.09170 2008.04.27 Trojan.DownLoader.59495
eSafe 7.0.15.0 2008.04.27 -
eTrust-Vet 31.3.5736 2008.04.26 -
Ewido 4.0 2008.04.27 -
F-Prot 4.4.2.54 2008.04.27 -
F-Secure 6.70.13260.0 2008.04.28 W32/Downloader
FileAdvisor 1 2008.04.28 -
Fortinet 3.14.0.0 2008.04.27 -
Ikarus T3.1.1.26.0 2008.04.28 Worm.Win32.Downloader.am
Kaspersky 7.0.0.125 2008.04.28 Worm.Win32.Downloader.ia
McAfee 5282 2008.04.25 -
Microsoft 1.3408 2008.04.22 TrojanDownloader:Win32/Small.gen!C
NOD32v2 3058 2008.04.27 Win32/Jalous.AI
Norman 5.80.02 2008.04.25 W32/Downloader
Panda 9.0.0.4 2008.04.27 -
Prevx1 V2 2008.04.28 -
Rising 20.41.62.00 2008.04.27 -
Sophos 4.28.0 2008.04.28 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.28 -
TheHacker 6.2.92.294 2008.04.26 -
VBA32 3.12.6.5 2008.04.26 Worm.Win32.Downloader.ia
VirusBuster 4.3.26:9 2008.04.27 -
Webwasher-Gateway 6.6.2 2008.04.27 -
附加訊息
File size: 976896 bytes

PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40142b
timedatestamp.....: 0x4801c491 (Sun Apr 13 08:30:09 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd9b 0xe00 6.16 ee52590359e039c765144d5fcdf2fa6e
.rdata 0x2000 0x6a8 0x800 5.33 58f3d89c793f4c09deae0d698ea22a7f
.data 0x3000 0x820 0x200 0.41 40a589486fce0bc38798908a6668c0e2
.rsrc 0x4000 0x438 0x600 2.58 453dc7bcdda762b81bcccad3d09b34ad
( 2 imports )
> KERNEL32.dll: CloseHandle, CreateFileA, Sleep, FreeLibrary,
GetProcAddress, LoadLibraryA, lstrlenA, GetTickCount, WinExec,
GetTempPathA, lstrcpynA, lstrcatA, GetSystemDirectoryA, GetModuleFileNameA,
HeapAlloc, ExitProcess, GetModuleHandleA, GetStartupInfoA, GetCommandLineA,
GetProcessHeap
> USER32.dll: wsprintfA
( 0 exports )
Norman Sandbox: [ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO -
REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 976896 bytes.
[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\dllcache\explorer.exe.
[ Network services ]
* Downloads file from http://www.playunit.net/eXp.jpg as
C:\WINDOWS\SYSTEM32\dllcache\explorer.exe.
* Connects to \"www.playunit.net\" on port 80 (TCP).
* Opens URL: www.playunit.net/eXp.jpg.
[ Security issues ]
* Starting downloaded file - potential security problem.
[ Process/window information ]
* Creates process \"explorer.exe\".
???說實在的 為什麼沒有 Trend Micro 的掃毒引擎呢???

根據上面的分析結果，真是讓我冒出一身冷汗
這次病毒的處理過程，對我其實該算是獲益良多吧!